CISP模拟一.docx

1、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A提高信息技术产品的国产化率B保证信息安全资金投入C加快信息安全人才培养D重视信息安全应急处理工作正确答案：A所在章：信息安全保障知识点：信息安全保障知识点4、与PDR模型相比，P2DR模型多了哪一个环节？A防护B检测C反应D策略正确答案：D所在章：信息安全保障知识点：信息安全保障知识点24、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：A在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实B在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行正确答案：D所在章：信息安全保障知识点：信息安全保障知识点26、下面关于信息系统安全保障的说法不正确的是：A信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关B信息系统安全保障要素包括信息的完整性.可用性和保密性C信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障D信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命正确答案：B所在章：信息安全保障知识点：信息安全保障知识点28、下面关于信息系统安全保障模型的说法不正确的是：A国家标准信息系统安全保障评估框架第一部分：简介和一般模型(GBT202741-2006)中的信息系统安全保障模型将风险和策略作为基础和核心B模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化C信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入正确答案：D所在章：信息安全保障知识点：信息安全保障知识点29、关于信息安全保障技术框架(IATF)，以下说法不正确的是：A分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本BIATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施C允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性DIATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制正确答案：D所在章：信息安全保障知识点：信息安全保障知识点30、关于信息安全保障的概念，下面说法错误的是：A信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念B信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段C在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全D信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障正确答案：C所在章：信息安全保障知识点：信息安全保障知识点67、Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确的模式表示？Arwxr-xr-x3useradmin1024Sep1311:58testBdrwxr-xr-x3useradmin1024Sep1311:58testCrwxr-xr-x3adminuser1024Sep1311:58testDdrwxr-xr-x3adminuser1024Sep1311:58test正确答案：A所在章：信息安全技术知识点：信息安全技术知识点73、在数据库安全性控制中，授权的数据对象_，授权子系统就越灵活？A粒度越小B约束越细致C范围越大D约束范围大正确答案：A所在章：信息安全技术知识点：信息安全技术知识点77、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：Ahttpd.confBsrm.confCaccess.confDinetd.conf正确答案：A所在章：信息安全技术知识点：信息安全技术知识点81、下列关于计算机病毒感染能力的说法不正确的是：A能将自身代码注入到引导区B能将自身代码注入到扇区中的文件镜像C能将自身代码注入文本文件中并执行D能将自身代码注入到文档或模板的宏中代码正确答案：C所在章：信息安全技术知识点：信息安全技术知识点90、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击？ALandBUDPFloodCSmurfDTeardrop正确答案：D所在章：信息安全技术知识点：信息安全技术知识点97、通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效地网络信息流时，这种攻击称之为：ALand攻击BSmurf攻击CPingofDeath攻击DICMPFlood正确答案：D所在章：信息安全技术知识点：信息安全技术知识点100、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：A设置网络连接时限B记录并分析系统错误日志C记录并分析用户和管理员操作日志D启用时钟同步正确答案：A所在章：信息安全技术知识点：信息安全技术知识点107、以下哪一项是数据完整性得到保护的例子?A某网站在访问量突然增加时对用户连接数量进行了限制，保证己登录的用户可以完成操作B在提款过程中ATM终端发生故障，银行业务系统及时对该用户的帐户余额进行了冲正操作C某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看正确答案：B所在章：信息安全技术知识点：信息安全技术知识点276、下列哪项内容描述的是缓冲区溢出漏洞？A通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令B攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。C当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据会覆盖在合法数据上D信息技术.信息产品.信息系统在设计.实现.配置.运行等过程中，有意或无意产生的缺陷正确答案：C所在章：信息安全技术知识点：信息安全技术知识点321、以下哪一项不是工作在网络第二层的隧道协议？AVTPBL2FCPPTPDL2TP正确答案：A所在章：信息安全技术知识点：信息安全技术知识点324、下列对于网络认证协议（Kerberos）描述正确的是：A该协议使用非对称密钥加密机制B密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成C该协议完成身份鉴别后将获取用户票据许可票据D使用该协议不需要时钟基本同步的环境正确答案：C所在章：信息安全技术知识点：信息安全技术知识点330、下列哪一些对信息安全漏洞的描述是错误的？A漏洞是存在于信息系统的某种缺陷B漏洞存在于一定的环境中，寄生在一定的客体上（如TOE中、过程中等）C具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失D漏洞都是人为故意引入的一种信息系统的弱点正确答案：D所在章：信息安全技术知识点：信息安全技术知识点333、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?AARP协议是一个无状态的协议B为提高效率，ARP信息在系统中会缓存CARP缓存是动态的，可被改写DARP协议是用于寻址的一个重要协议正确答案：D所在章：信息安全技术知识点：信息安全技术知识点358、入侵防御系统（IPS）是继入侵检测系统（IDS）后发展期出来的一项新的安全技术，它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点？A串接到网络线路中B对异常的进出流量可以直接进行阻断C有可能造成单点故障D不会影响网络性能正确答案：D所在章：信息安全技术知识点：信息安全技术知识点364、以下哪个是恶意代码采用的隐藏技术：A文件隐藏B进程隐藏C网络链接隐藏D以上都是正确答案：D所在章：信息安全技术知识点：信息安全技术知识点365、张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？A口令攻击B暴力破解C拒绝服务攻击D社会工程学攻击正确答案：D所在章：信息安全技术知识点：信息安全技术知识点369、公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：A乙对信息安全不重视，低估了黑客能力，不舍得花钱B甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费C甲未充分考虑网游网站的业务与政府网站业务的区别D乙要综合考虑业务.合规性和风险，与甲共同确定网站安全需求正确答案：A所在章：信息安全技术知识点：信息安全技术知识点370、进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史.国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：A与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担C各国普遍重视信息安全事件的应急响应和处理D在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系正确答案：B所在章：信息安全技术知识点：信息安全技术知识点373、下列哪一种方法属于基于实体“所有”鉴别方法：A用户通过自己设置的口令登录系统，完成身份鉴别B用户使用个人指纹，通过指纹识别系统的身份鉴别C用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别D用户使用集成电路卡(如智能卡)完成身份鉴别正确答案：D所在章：信息安全技术知识点：信息安全技术知识点374、为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?A实体“所知”以及实体“所有”的鉴别方法B实体“所有”以及实体“特征”的鉴别方法C实体“所知”以及实体“特征”的鉴别方法D实体“所有”以及实体“行为”的鉴别方法正确答案：A所在章：信息安全技术知识点：信息安全技术知识点375、某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?A渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞B渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C渗透测试使用人工进行测试，不依赖软件，因此测试更准确D渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多正确答案：A所在章：信息安全技术知识点：信息安全技术知识点376、软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?A告诉用户需要收集什么数据及搜集到的数据会如何被使用B当用户的数据由于某种原因要被使用时，给用户选择是否允许C用户提交的用户名和密码属于稳私数据，其它都不是D确保数据的使用符合国家.地方.行业的相关法律法规正确答案：C所在章：信息安全技术知识点：信息安全技术知识点377、以下场景描述了基于角色的访问控制模型(Role-basedAccessControlRBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位.职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是：A当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝B业务系统中的岗位.职位或者分工，可对应RBAC模型中的角色C通过角色，可实现对信息资源访问的控制DRBAC模型不能实现多级安全中的访问控制正确答案：D所在章：信息安全技术知识点：信息安全技术知识点378、下面哪一项不是虚拟专用网络(VPN)协议标准：A第二层隧道协议(L2TP)BInternet安全性(IPSEC)C终端访问控制器访问控制系统(TACACS+)D点对点隧道协议(PPTP)正确答案：C所在章：信息安全技术知识点：信息安全技术知识点379、鉴别的基本途径有三种：所知.所有和个人特征，以下哪一项不是基于你所知道的：A口令B令牌C知识D密码正确答案：B所在章：信息安全技术知识点：信息安全技术知识点380、某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是：A选购当前技术最先进的防火墙即可B选购任意一款品牌防火墙C任意选购一款价格合适的防火墙产品D选购一款同已有安全产品联动的防火墙正确答案：D所在章：信息安全技术知识点：信息安全技术知识点381、某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全设计中的哪项原则?A最小权限B权限分离C不信任D纵深防御正确答案：B所在章：信息安全技术知识点：信息安全技术知识点382、以下关于互联网协议安全(InternetProtocolSecurity，IPsec)协议说法错误的是：A在传送模式中，保护的是IP负载B验证头协议(AuthenticationHead，AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload，ESP)都能以传输模式和隧道模式工作C在隧道模式中，保护的是整个互联网协议(InternetProtocol，IP)包，包括IP头DIPsec仅能保证传输数据的可认证性和保密性正确答案：D所在章：信息安全技术知识点：信息安全技术知识点383、某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?A网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度B网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D网站使用用户名.密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息正确答案：D所在章：信息安全技术知识点：信息安全技术知识点384、以下关于PGP(PrettyGoodPrivacy)软件叙述错误的是：APGP可以实现对邮件的加密.签名和认证BPGP可以实现数据压缩CPGP可以对邮件进行分段和重组DPGP采用SHA算法加密邮件正确答案：D所在章：信息安全技术知识点：信息安全技术知识点385、相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势?ANTFS使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等闯题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作BNTFS的分区上，可以为每个文件或文件夹设置单独的许可权限C对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率D相比FAT文件系统，NTFS文件系统能有效的兼容Linux下EXT2文件格式正确答案：D所在章：信息安全技术知识点：信息安全技术知识点386、某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是Windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：A在网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服务器中B严格设置Web日志权限，只有系统权限才能进行读和写等操作C对日志属性进行调整，加大日志文件大小，延长日志覆盖时间，设置记录更多信息等D使用独立的分区用于存储日志，并且保留足够大的日志空间正确答案：A所在章：信息安全技术知识点：信息安全技术知识点387、安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?A操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞B为了方便进行数据备份，安装Windows操作系统时只使用一个分区C，所有数据和操作系统都存放在C盘C操作系统上部署防病毒软件，以对抗病毒的威胁D将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能正确答案：B所在章：信息安全技术知识点：信息安全技术知识点388、账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?A分布式拒绝服务攻击(DDoS)B病毒传染C口令暴力破解D缓冲区溢出攻击正确答案：C所在章：信息安全技术知识点：信息安全技术知识点389、数据在进行传输前，需要由协议栈自上而下对数据进行封装，TCPIP协议中，数据封装的顺序是：A传输层、网络接口层、互联网络层B传输层、互联网络层、网络接口层C互联网络层、传输层、网络接口层D互联网络层、网络接口层、传输层正确答案：B所在章：信息安全技术知识点：信息安全技术知识点390、关于软件安全开发生命周期(SDL)，下面说法错误的是：A在软件开发的各个周期都要考虑安全因素B软件安全开发生命周期要综合采用技术.管理和工程等手段C测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本D在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本正确答案：C所在章：信息安全技术知识点：信息安全技术知识点391、在软件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能：A治理，主要是管理软件开发的过程和活动B构造，主要是在开发项目中确定目标并开发软件的过程与活动C验证，主要是测试和验证软件的过程与活动D购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动正确答案：D所在章：信息安全技术知识点：信息安全技术知识点394、以下关于直接附加存储(DirectAttachedStorage，DAS)说法错误的是：ADAS能够在服务器物理位置比较分散的情况下实现大容量存储，是一种常用的数据存储方法BDAS实现了操作系统与数据的分离，存取性能较高并且实施简单CDAS的缺点在于对服务器依赖性强，当服务器发生故障时，连接在服务器上的存储设备中的数据不能被存取D较网络附加存储(NetworkAttachedStorage，NAS)，DAS节省硬盘空间，数据非常集中，便于对数据进行管理和备份正确答案：D所在章：信息安全技术知识点：信息安全技术知识点395、某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是_?A该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用httpsB该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施C该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决D该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可正确答案：B所在章：信息安全技术知识点：信息安全技术知识点396、针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式：A攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100B攻击者利用软件脚本使用多重嵌套查询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢C攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导致并发连接数耗尽而无法访问D攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问正确答案：D所在章：信息安全技术知识点：信息安全技术知识点397、以下哪个选项不是防火墙提供的安全功能?AIP地址欺骗防护BNATC访问控制DSQL注入攻击防护正确答案：D所在章：信息安全技术知识点：信息安全技术知识点398、以下关于可信计算说法错误的是：A可信的主要目的是要建立起主动防御的信息安全保障体系B可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念C可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信D可信计算平台出现后会取代传统的安全防护体系和方法正确答案：D所在章：信息安全技术知识点：信息安全技术知识点399、应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据库防护策略的是?A安装最新的数据库软件安全补丁B对存储的敏感数据进行安全加密C不使用管理员权限直接连接数据库系统D定期对数据库服务器进行重启以确保数据库运行良好正确答案：D所在章：信息安全技术知识点：信息安全技术知识点400、对恶意代码的预防，需要采取增强安全防范策略与意识等措施，关于以下预防措施或意识，说法错误的是：A在使用来自外部的移动介质前，需要进行安全扫描B限制用户对管理员权限的使用C开放所有端口和服务，充分使用系统资源D不要从不可信来源下载或执行应用程序正确答案：C所在章：信息安全技术知识点：信息安全技术知识点401、安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低为nobody用户，以下操作的主要目的是：A为了提高Apache软件运行效率B为了提高Apache软件的可靠性C为了避免攻击者通过Apache获得root权限D为了减少Apache上存在的漏洞正确答案：C所在章：信息安全技术知识点：信息安全技术知识点402、传输控制协议(TCP)是传输层协议，以下关于TCP协议的说法，哪个是正确的?A相比传输层的另外一个协议UDP，TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途BTCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确的主机CTCP协议具有流量控制.数据校验.超时重发.接收确认等机制，因此TCP协议能完全替代IP协议DTCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低正确答案：D所在章：信息安全技术知识点：信息安全技术知识点403、以下关于UDP协议的说法，哪个是错误的?AUDP具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击BUDP协议包头中包含了源端口号和目的端口号，因此UDP可通过端口号将数据包送达正确的程序C相比TCP协议，UDP协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据DUDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频会话这类需要隐私保护的数据正确答案：D所在章：信息安全技术知识点：信息安全技术知识点404、近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是?A加强网站源代码的安全性B对网络客户端进行安全评估C协调运营商对域名解析服务器进行加固D在网站的网络出口部署应用级防火墙正确答案：C所在章：信息安全技术知识点：信息安全技术知识点424、关于源代码审核，描述正确的是（）A源代码审核过程遵循信息安全保障技术框架模型，在执行时应一步一步严格执行B源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具C源代码审核如果想要有效率高，则主要要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断D源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试正确答案：B所在章：信息安全技术知识点：信息安全技术知识点445、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：A明确业务对信息安全的要求B识别来自法律法规的安全要求C论证安全要求是否正确完整D通过测试证明系统的功能和性能可以满足安全要求正确答案：D所在章：信息安全管理知识点：信息安全管理知识点476、以下关于“最小特权”安全管理原则理解正确的是:A组织机构内的敏感岗位不能由一个人长期负责B对重要的工作进行分解，分配给不同人员完成C一个人有且仅有其执行岗位所足够的许可和权限D防止员工由一个岗位变动到另一个岗位，累积越来越多的权限正确答案：C所在章：信息安全管理知识点：信息安全管理知识点526、信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评。A0.5B1C2D3正确答案：B所在章：信息安全管理知识点：信息安全管理知识点545、在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段？A背景建立B风险评估C风险处理D批准监督正确答案：C所在章：信息安全管理知识点：信息安全管理知识点552、下列对于信息安全保障深度防御模型的说法错误的是：A信息安全外部环境：信息安全保障是组织机构安全，国家安全的一个总要组成部分，因此对信息安全的讨论必须放在国家政策.法律法规和标准的外部环境制约下B信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统C信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分D信息安全技术方案：“从外而内，自下而上，形成边界到端的防护能力”正确答案：D所在章：信息安全管理知识点：信息安全管理知识点553、信息系统的业务特性应该从哪里获取?A机构的使命B机构的战略背景和战略目标C机构的业务内容和业务流程D机构的组织结构和管理制度正确答案：C所在章：信息安全管理知识点：信息安全管理知识点555、以下哪些是需要在信息安全策略中进行描述的：A组织信息系统安全架构B信息安全工作的基本原则C组织信息安全技术参数D组织信息安全实施手段正确答案：A所在章：信息安全管理知识点：信息安全管理知识点572、美国的关键信息基础设施(criticalInformationInfrastructure，CII)包括商用设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：A这些行业都关系到国计民生，对经济运行和国家安全影响深远B这些行业都是信息化应用广泛的领域C这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出D这些行业发生信息安全事件，会造成广泛而严重的损失正确答案：C所在章：信息安全管理知识点：信息安全管理知识点573、小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：(1)背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风验管理项目的规划和准备；(2)背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果；(3)背景建立包括：风险管理准备.信息系统调查.信息系统分析和信息安全分析；(4)背景建立的阶段性成果包括：风险管理计划书，信息系统的描述报告，信息系统的分析报告，信息系统的安全要求报告。请问小王的所述论点中错误的是哪项：A第一个观点，背景建立的目的只是为了明确信息安全风险管理的范围和对象B第二个观点，背景建立的依据是国家.地区域行业的相关政策、法律、法规和标准C第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字D第四个观点，背景建立的阶段性成果中不包括有风险管理计划书正确答案：B所在章：信息安全管理知识点：信息安全管理知识点575、以下关于信息安全法治建设的意义，说法错误的是：A信息安全法律环境是信息安全保障体系中的必要环节B明确违反信息安全的行为，并对该行为进行相应的处罚，以打击信息安全犯罪活动C信息安全主要是技术问题，技术漏洞是信息犯罪的根源D信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系正确答案：C所在章：信息安全管理知识点：信息安全管理知识点576、小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少：A24万B0.09万C37.5万D9万正确答案：D所在章：信息安全管理知识点：信息安全管理知识点577、信息安全等级保护分级要求，第三级适用正确的是：A适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益B适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害C适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害D适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后，会对国家安全、社会秩序，经济建设和公共利益造成特别严重损害正确答案：B所在章：信息安全管理知识点：信息安全管理知识点579、以下对于信息安全事件理解错误的是：A信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件B对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分C应急响应是信息安全事件管理的重要内容D通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息安全事件的发生正确答案：D所在章：信息安全管理知识点：信息安全管理知识点答案解析：选项D中，杜绝信息安全事件的发生是做不到的。580、假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备：A是多余的，因为它们完成了同样的功能，但要求更多的开销B是必须的，可以为预防控制的功效提供检测C是可选的，可以实现深度防御D在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制的功能已经足够正确答案：B所在章：信息安全管理知识点：信息安全管理知识点583、关于信息安全事件管理和应急响应，以下说法错误的是：A应急响应是指组织为了应对突发重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施B应急响应方法，将应急响应管理过程分为遏制.根除.处置.恢复.报告和跟踪6个阶段C对信息安全事件的分级主要参考信息系统的重要程度.系统损失和社会影响三方面因素D根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特别重大事件(级).重大事件(级).较大事件(级)和一般事件(级)正确答案：B所在章：信息安全管理知识点：信息安全管理知识点584、以下关于灾难恢复和数据备份的理解，说法正确的是：A增量备份是备份从上次完全备份后更新的全部数据文件B依据具备的灾难恢复资源程度的不同，灾难恢复能力分为7个等级C数据备份按数据类型划分可以划分为系统数据备份和用户数据备份D如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了正确答案：C所在章：信息安全管理知识点：信息安全管理知识点585、某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择M公司为承建单位，并选择了H监理公司承担该项目的全程监理工作，目前，各个应用系统均已完成开发，M公司已经提交了验收申请，监理公司需要对A公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档：A项目计划书B质量控制计划C评审报告D需求说明书正确答案：D所在章：信息安全管理知识点：信息安全管理知识点588、有关系统安全工程-能力成熟度模型(SSZ-CMM)，错误的理解是：ASSE-CMM要求实施组织与其他组织相互作用，如开发方.产品供应商.集成商和咨询服务商等BSSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目C基手SSE-CMM的工程是独立工程，与软件工程.硬件工程.通信工程等分别规划实施DSSE-CMM覆盖整个组织的活动，包括管理.组织和工程活动等，而不仅仅是系统安全的工程活动正确答案：C所在章：信息安全管理知识点：信息安全管理知识点589、有关危害国家秘密安全的行为，包括：A严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为B严重违反保密规定行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为，但不包括定密不当行为C严重违反保密规定行为.定密不当行为.保密行政管理部门的工作人员的违法行为，但不包括公共信息网络运营商及服务商不履行保密义务的行为D严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为，但不包括保密行政管理部门的工作人员的违法行为正确答案：A所在章：信息安全管理知识点：信息安全管理知识点593、最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个?A软件在Linux下按照时，设定运行时使用nobody用户运行实例B软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库C软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误正确答案：D所在章：信息安全管理知识点：信息安全管理知识点594、某单位计划在今年开发一套办公自动化(OA)系统，将集团公司各地的机构通过互联网进行协同办公，在OA系统的设计方案评审会上，提出了不少安全开发的建议，作为安全专家，请指出大家提的建议中不太合适的一条?A对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题B要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识C要求软件开发商使用Java而不是ASP作为开发语言，避免产生SQL注入漏洞D要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对输入数据进行校验正确答案：C所在章：信息安全管理知识点：信息安全管理知识点595、某单位根据业务需要准备立项开发一个业务软件，对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧，开发部门认为开发阶段无需投入，软件开发完成后发现问题后再针对性的解决，比前期安全投入要成本更低；信息中心则认为应在软件安全开发阶段投入，后期解决代价太大，双方争执不下，作为信息安全专家，请选择对软件开发安全投入的准确说法?A信息中心的考虑是正确的，在软件立项投入解决软件安全问题，总体经费投入比软件运行后的费用要低B软件开发部门的说法是正确的，因为软件发现问题后更清楚问题所在，安排人员进行代码修订更简单，因此费用更低C双方的说法都正确，需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低D双方的说法都错误，软件安全问题在任何时候投入解决都可以，只要是一样的问题，解决的代价相同正确答案：A所在章：信息安全管理知识点：信息安全管理知识点596、某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施?A由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析B为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险C日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志D只允许特定的IP地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间正确答案：D所在章：信息安全管理知识点：信息安全管理知识点598、在戴明环(PDCA)模型中，处置(ACT)环节的信息安全管理活动是：A建立环境B实施风险处理计划C持续的监视与评审风险D持续改进信息安全管理过程正确答案：D所在章：信息安全管理知识点：信息安全管理知识点599、以下哪一项不属于常见的风险评估与管理工具：A基于信息安全标准的风险评估与管理工具B基于知识的风险评估与管理工具C基于模型的风险评估与管理工具D基于经验的风险评估与管理工具正确答案：D所在章：信息安全管理知识点：信息安全管理知识点600、以下说法正确的是：A验收测试是由承建方和用户按照用户使用手册执行软件验收B软件测试的目的是